是一个系统的工程策略，就是最重要的第一道大门。经验表明，超过五成的安全事件和防火墙策略配置不当有关。服务器安全组等价于上的防火墙，不同类型的云服务器需要做好对应的安全组策略配置，才能更好的保障业务的安全性。

云服务器ECS的网络类型分为经典网络和专有网络两种。

经典网络采用单纯隔离，是一个共享的基础网络。网络里的一些实例都在一个共同的生态环境里。如果将经典网络比喻为城市，那么网络里的实例就相当于城市里一条街道上的房屋或楼宇。房屋配套的围墙和门锁用于提供安全防护，其中围墙相当于安全组门锁，相当于安全组规则。

为避免骇客侵入，我们需要时常关注安全组状况，切忌漏设并防止权限控制漏洞，一旦马虎骇客，便会伺机攻击ECS实例。所以，经典网络的安全防护高度依赖安全组的权限控制。我们最好不要将安全组授权对象设置为0.0.0.0/0，这相当于对外不设防风险非常大。

VPC专有网络采用二层隔离式安全增强型网络，更是阿里云首推的云上私有网络。网络里的实例都高度隔离，相对于今年网络而言，VPC具有更高的安全性和灵活性。每组VPC网络都类似于不同维度里的平行空间，空间之间既不会相交，也不会重合。即使单个空间出现了问题，也无法影响到其他空间。即使我们不小心忘记设置安全组，外人也无法轻易踏足你的网络领域。

要实现两组VPC网络之间的通信，我们需要建立“高能量的时空隧道”——高速通道，才能通信。使用VPC还能帮我们建立起精细的网络管理能力，通过建立虚拟交换机划分子网，灵活的配置网络隔离机制。

VPC专有网络和经典网络的差异

无论是VPC网络还是经典网络，都需要通过安全组来管理云服务器的访问权限。阿里云提供了稳定的经典网络迁移到VPC的辅助功能，帮助我们零影响实现在线网络迁移。

相比于经典网络，VPC专有网络之间以及与经典网络之间完全隔离，经典网络与专有网络及不同的VPC专有网络之前不能相互访问，具有更高的安全性。

关于阿里云VPC专有网络的更多信息：

阿里云创建专有网络VPC需要设置目标网段，本文介绍阿里云VPC默认目标网段、交换机目标网段和公网网段作为专有网段的方法。

阿里云为我们提供三个默认网段：

大家根据自身网络情况、安全及可用IP情况来酌情选择。
注意：一旦创建成功，网段则不能修改！

建议您使用RFC私网地址10.0.0.0/8，172.16.0.0/12，192.168.0.0/16 作为专有网络的网段。选择自定义可以设置上述三个地址段的子网作为专有网络的网段。

公网网段作为专有网络网段

如果特殊情况需要使用公网网段作为专有网络网段，请 。